Facua denuncia a Generali ante la AEPD por una filtración «masiva» de datos de sus clientes


La aseguradora defiende que activó «de manera inmediata» el protocolo de ciberseguridad tras el ataque registrado a finales de febrero

Facua-Consumidores en Acción ha presentado una denuncia ante la Agencia Española de Protección de Datos (AEPD) contra Generali por una filtración «masiva» de datos personales de clientes de esta compañía aseguradora que se produjo a finales del pasado mes de febrero.

Según afirma la asociación, la empresa notificó a través de un comunicado el haber sufrido una brecha de seguridad en su sistema, un incidente que «permitió que los datos personales de antiguos clientes de Liberty Seguros quedaran expuestos sin sus autorizaciones».

«La información a la que los hackers tuvieron acceso consiste en datos identificativos y de contacto relativos a las pólizas contratadas (nombres, apellidos, dirección, teléfono, correo electrónico, DNI, fecha de nacimiento, estado civil o identificación del bien asegurado), así como el código IBAN de las cuentas corrientes», apostilla Facua.

La asociación señala la «gravedad» de la filtración, puesto que se trata de datos «especialmente protegidos» que «podrían utilizarse para realizar campañas personalizadas de fraudes bancarios».

«Al haber obtenido el ciberdelincuente información personal de la víctima, puede enviarle una comunicación (correo electrónico, llamada telefónica, etcétera) totalmente personalizada para que confíe en la veracidad del mensaje y, de este modo, perpetrar un posible delito de estafa», prosigue.

Recuerda, además, que la AEPD ya multó a Generali con cinco millones de euros por otra filtración de datos de clientes que se produjo en 2022 y que «comprometió información confidencial de hasta 1,6 millones de personas, entre clientes y exclientes». La aseguradora ha recurrido judicialmente dicha resolución.

En su denuncia, Facua afirma que la nueva filtración habría vulnerado varios preceptos del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

En concreto, Facua señala que el artículo 32 de la citada normativa establece «meridianamente» que el encargado del tratamiento de datos personales debe garantizar la seudonimización y el cifrado de datos personales, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento y la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico, entre otros.

La asociación también basa su denuncia en el artículo 73 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, donde se incluye como infracción grave «la falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del RGPD, así como el quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado».

Por último, Facua menciona que el artículo 83.4 del RGPD plantea sanciones de hasta diez millones de euros o de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior de la empresa, optándose por la de mayor cuantía, para infracciones como las mencionadas anteriormente.

Por todo ello, la asociación ha pedido a la Agencia Española de Protección de Datos que abra una investigación para determinar si Generali ha llevado a cabo todas las actuaciones que recoge la normativa europea y española vigente.

Asimismo le insta a que, en caso de detectar que se produjo algún tipo de incumplimiento, abra un nuevo expediente sancionador contra la empresa aseguradora.

GENERALI AFIRMA QUE ACTIVÓ INMEDIATAMENTE SUS PROTOCOLOS

Preguntada por Europa Press, Generali defiende que el ciberataque del pasado mes de febrero se produjo en un contexto de «proliferación» de estos incidentes y que se activó «de manera inmediata» el protocolo de ciberseguridad, gracias al cual la brecha «quedó inmediatamente cerrada».

Asimismo, señala que comunicó este hecho a los afectados y habilitó un canal de contacto específico y que, en los plazos que marca la ley, se notificó el incidente a la AEPD y a la Dirección General de Seguros y Fondos de Pensiones. Asimismo, presentó las correspondientes denuncias a los Fuerzas y Cuerpos de Seguridad del Estado.

La aseguradora resalta también que el ataque se ha producido en Generali SAU (antigua Liberty Seguros), una entidad recientemente adquirida por el grupo y que, por tanto, el incidente «no guarda relación alguna con el ataque sufrido en el año 2022 por Generali España».

De hecho, explica que estas dos entidades operan como entidades independientes, no comparten infraestructuras tecnológicas, ni bases de datos de clientes. Además, insiste en que la sanción de cinco millones impuesta por el ataque de 2022 está recurrida judicialmente.

Por último, Generali subraya su «firme compromiso» con «los más altos estándares de seguridad».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

El Parlamento israelí aprueba los Presupuestos entre protestas contra el Gobierno
El partido de Machar acusa al Ejército de bombardear una de sus bases cerca de la capital

Bloqueador de anuncios detectado

Por favor, considere ayudarnos desactivando su bloqueador de anuncios